Pendedahan keselamatan terkini yang melibatkan platform Finland Keigoan telah mencetuskan perbincangan sengit mengenai pendekatan bermasalah Belgium terhadap pelaporan kelemahan keselamatan siber. Perbualan ini mendedahkan corak yang membimbangkan di mana penyelidik keselamatan yang berniat baik menghadapi ancaman undang-undang dan halangan birokrasi apabila cuba membantu organisasi membaiki kelemahan keselamatan.
Keperluan Undang-undang Keras Menghalang Pendedahan Bertanggungjawab
Belgium telah melaksanakan undang-undang keselamatan siber yang mewujudkan kewajipan undang-undang automatik untuk sesiapa yang menemui kelemahan dalam sistem Belgium . Keperluan ini termasuk had masa ketat 24 jam untuk melaporkan penemuan secara eksklusif kepada pihak berkuasa Belgium , lengkap dengan log terperinci semua aktiviti penyelidikan. Peraturan ini terpakai tanpa mengira kewarganegaraan atau lokasi penyelidik, mewujudkan medan undang-undang yang berbahaya untuk profesional keselamatan antarabangsa.
Aspek yang paling membimbangkan ialah penyelidik biasanya tidak boleh berkongsi maklumat kelemahan dengan organisasi bukan- Belgium yang terjejas, menyebabkan mereka terdedah sementara proses birokrasi berlangsung. Pendekatan ini secara asasnya salah faham tentang cara keselamatan siber moden berfungsi dalam dunia yang saling berkaitan.
Keperluan Pendedahan Kelemahan Belgium:
- Tarikh akhir 24 jam untuk melaporkan kepada pihak berkuasa Belgium
- Pelaporan eksklusif (tidak boleh memaklumkan pihak lain yang terjejas)
- Log terperinci bagi semua aktiviti penyelidikan diperlukan
- Terpakai kepada semua penyelidik tanpa mengira kewarganegaraan atau lokasi
- Biasanya tiada kebenaran diberikan untuk berkongsi maklumat secara terbuka
Halangan Budaya Memburukkan Masalah Undang-undang
Selain halangan undang-undang, penyelidik melaporkan menghadapi budaya penafian dan permusuhan apabila cuba melakukan pendedahan bertanggungjawab di Belgium . Beberapa profesional keselamatan menggambarkan pertemuan dengan organisasi Belgium yang bertindak balas terhadap laporan kelemahan dengan ancaman dan bukannya rasa terima kasih. Sikap defensif ini meluas melampaui keselamatan siber ke dalam amalan perniagaan umum, mewujudkan apa yang dipanggil oleh sesetengah pihak sebagai cukai keangkuhan yang menghalang penyelidikan keselamatan yang sah.
Semakin sukar anda menjadikan pendedahan bertanggungjawab, semakin menarik pendedahan tidak bertanggungjawab, dan cukup mudah untuk dilakukan secara tanpa nama.
Sektor perbankan, yang sepatutnya mengutamakan keselamatan memandangkan peranannya yang kritikal, nampaknya sangat menentang bantuan keselamatan luar. Penyelidik menggambarkan bank sebagai antara pelaku paling tidak jujur apabila melibatkan pengakuan dan menangani kelemahan keselamatan.
Kesan Terhadap Komuniti Penyelidikan Keselamatan:
- Penyelidik secara aktif mengelakkan sistem Belgium
- Ancaman tindakan undang-undang adalah perkara biasa selepas pendedahan yang bertanggungjawab
- "Cukai keangkuhan" tidak menggalakkan kerja keselamatan yang sah
- Sektor perbankan amat bermusuhan terhadap laporan kelemahan
- Pendedahan tanpa nama menjadi alternatif yang lebih menarik
Akibat untuk Keselamatan Negara
Persekitaran bermusuhan ini mewujudkan insentif songsang yang akhirnya memudaratkan kedudukan keselamatan siber Belgium . Apabila penyelidik sah mengelak sistem Belgium , kelemahan kekal tidak ditemui sehingga pelaku berniat jahat menemuinya. Dasar ini berpunca daripada mentaliti birokrasi yang memfokuskan pada perlindungan liabiliti dan bukannya penambahbaikan keselamatan sebenar.
Beberapa penyelidik berpengalaman kini secara aktif mengelak sistem Belgium sepenuhnya, melihat risiko undang-undang dan budaya sebagai terlalu tinggi. Kehilangan bakat ini menyebabkan infrastruktur digital Belgium lebih terdedah kepada serangan sebenar sambil menghukum mereka yang cuba membantu.
Situasi ini menyerlahkan salah faham asas mengenai keselamatan siber moden di kalangan pembuat dasar. Keselamatan berkesan memerlukan kerjasama antara organisasi dan penyelidik, bukan hubungan bermusuhan yang menghalau kepakaran. Sehingga Belgium mereformasi kedua-dua rangka kerja undang-undang dan pendekatan budayanya terhadap pendedahan kelemahan, ia akan terus ketinggalan dalam kesediaan keselamatan siber.
Rujukan: Keigoan CV9 is deeply broken